[Linux-bruxelles] faille Apache2 ? ... DOS attack...
Bruno
bruno at brunop.be
Mar 23 Juin 13:20:55 CEST 2009
Salut,
Pour commencer, que disent les logs d'apache ?
La prochaine fois que ça arrive, fais un :
netstat -tanpu | grep ":80 " | awk {'print $4'} | sort | uniq -c
Didier MISSON a écrit :
> Bonjour,
>
> Mon serveur à la maison, actuellement Ubuntu 8.04 (Celeron 1,2 GHz, 1GB
> DDR2), a pas mal de problèmes depuis une dizaine de jours.
> Régulièrement, il bloque totalement (difficile de prendre des docs !) et
> je dois faire un reset :-(
>
> Je pensais avoir résolu le problème en déplaçant 2 sites Drupal vers un
> autre serveur.
> J'avais eu des retards de mises à jour (bcp à faire + 2 semaines de
> vacances...) et je pensais qu'il y avait peut-être un faille Drupal
> exploitée.
>
> Comme ça semblait redevenu stable depuis 2 jours, j'ai pensé que le
> problème venait d'une correction non appliquée en Drupal, alors que le
> nouveau serveur lui était à jour pour Drupal.
> Il restait sur mon ancien serveur à la maison, mon blog en WordPress
>
> Mais non :-(
>
> ça recommence ce matin !
> Donc, sur mon serveur à la maison, Ubuntu 8.04.
> Il reste mon blog en WordPress, et tout d'un coup, il se bloque ! Timeout.
> J'essaye Munin : les pages s'affichent très difficilement, mais pas de
> stat ! càd déjà 15 minutes où elles ne sont plus mises à jour.
>
> Je tente un SSH ... ça semble répondre, mais TRES lentement !
> Je réussis à faire logon.
> J'essaie un htop, hyper long à répondre !
> J'ai le temps de voir une page une fraction de secondes, car j'avais taper
> "Q" comme il ne répondait pas
> Dans cette page htop, j'ai juste le temps de voir ENORMEMENT de tâche
> APACHE2 et un load dans les 100 !!!
> Pas eu le temps d'analyser.
>
> J'ai pu taper (toujours avec des délais de réaction dans les 30 ou 40
> secondes) un "sudo reboot"
> puis j'ai perdu la session par timeout
> (sans message de reboot... C'est PuTTY et notre proxy boulot qui a coupé,
> pas le serveur)
>
> J'ai finalement récupéré l'accès après environ 20 minutes.
> Il n'a PAS rebooté correctement je pense.
> Comme il était bloqué, j'avais démandé à ma fille, à la maison, de faire
> le RESET hardware du serveur.
>
> Maintenant, je vois ceci dans le syslog :
>
> Jun 23 11:27:54 abrasd03 /USR/SBIN/CRON[26158]: (munin) CMD (if [ -x
> /usr/bin/munin-cron ]; then /usr/bin/munin-cron; fi)
> Jun 23 11:27:56 abrasd03 /USR/SBIN/CRON[26161]: (root) CMD (if [ -x
> /etc/munin/plugins/apt_all ]; then /etc/munin/plugins/apt_all update 7200
> 12
> >/dev/null; elif [ -x /etc/munin/plugins/apt ]; then
> /etc/munin/plugins/apt update 7200 12 >/dev/null; fi)
> Jun 23 11:28:09 abrasd03 init: tty4 main process (4100) killed by TERM
> signal
> Jun 23 11:28:09 abrasd03 init: tty5 main process (4101) killed by TERM
> signal
> Jun 23 11:28:09 abrasd03 init: tty2 main process (4105) killed by TERM
> signal
> Jun 23 11:28:09 abrasd03 init: tty3 main process (4106) killed by TERM
> signal
> Jun 23 11:28:09 abrasd03 init: tty6 main process (4109) killed by TERM
> signal
> Jun 23 11:28:09 abrasd03 init: tty1 main process (5175) killed by TERM
> signal
> Jun 23 11:54:20 abrasd03 syslogd 1.5.0#1ubuntu1: restart.
> Jun 23 11:54:20 abrasd03 kernel: Inspecting
> /boot/System.map-2.6.24-24-server
> Jun 23 11:54:20 abrasd03 kernel: Loaded 28776 symbols from
> /boot/System.map-2.6.24-24-server.
> Jun 23 11:54:20 abrasd03 kernel: Symbols match kernel version 2.6.24.
>
> Il semble avoir bien accepté les KILL de la commande "reboot", en tout cas
> certains...
> et pourtant, il n'a pas continué, pas redémarré puisqu'il ne l'a fait que
> 24 minutes après quand ma fille a fait "reset"
> :-(
>
>
> Maintenant le serveur répond. Munin et le blog sont ok. Load de 0,25
>
> Vu le nombre de tâche Apache et le load de 100, je pense à une attack DOS
> de ce type :
>
> http://www.tux-planet.fr/multiple-http-server-low-bandwidth-denial-of-service/
>
> C'est peut-être autre chose...
> Une idée à ce sujet ?
> Comment protéger Apache2 ?
> Je pense que des mises à jour vont sortir, mais en attendant... c'est la
> m...
> Je ne suis jamais sur de retrouver le serveur on-line dans 10 minutes.
Plus d'informations sur la liste de diffusion Linux-bruxelles